lokal gehostet: global erreichbare (Aio-)Nextcloud + localAI in Docker, hinter cgnat/reverse proxy/nginx + ggf. Wireguard

[Smarty]

Moin,
vorweg: Ich habe NULL Plan von Linux und auch von allem anderen, ich droppe unten nur irgendwelche Begriffe, ohne das zu verstehen. Hat hier jemand zufällig Plan von der im Titel genannten Kombi?

Ich wollte endlich mal meine eigene Cloud, gerade auch eine Nextcloud: fürs Aufgaben- und Kalendermanagement in der Familie (weg von trello und google-Kalendern), für den Datei-Sync in der Familie (Familienfotos inkl. Shares für die Omas und Opas, Papierkram für Kita/Gemeinde/usw., weg von OneDrive/Google Drive), fürs Online-Office (größtenteils weg von MS 365), für die Zusammenarbeit mit verschiedenen verstreuten Teams in kleinen Projekten. Und perspektivisch auch für den von außen erreichbaren KI-Server. Natürlich so, dass das restliche Heimnetz vor Zugriffen von außen relativ gut geschützt ist.

Ein Freund hat die Einrichtung für mich gemacht. Rechner steht bei mir im Keller, hat die normale häusliche Internetverbindung hinter einer Fritze. Debian + proxmox-VMs als Basis (habe ja auch noch z.B. einen Home Assistant-Server, der ist aber wie gewollt nur über Wireguard von außen erreichbar), ein reverse Proxy in Irland mit nginx und lets encrypt-Zertifikant. NCPi als proxmox-VM war zu langsam und NC-Office wollte damit nicht, darum inzwischen NC-AiO als Docker-Container, pihole ebenfalls als Docker-Container.

Die Basics funktionieren in der Nextcloud auch wunderbar, aber es geht noch Einiges nicht. Und mein Freund hat leider selbst prinzipiell sehr wenig Plan von Docker sowie von Nextcloud und macht auch alles andere nur als Hobby, professionell gelernt hat er das nicht.

• NC kann keine Mails verschicken, obwohl Zugangsdaten korrekt eingegeben sind. Muss vllt auch über den proxy laufen?
• In Talk gehen keine Videos (die entsprechenden Ports sind nicht freigegeben, aber es sollen auch nicht wild Löcher über einen socks proxy reingerissen werden)
• Aus dem LAN sollte die Verbindung ohne Umweg über reverse proxy gehen (z.B. für Bild- und Video-Transfer), tut sie aber nicht
• NC glaubt, dass alle Login-Versuche von der IP des zuhause stehenden Rechners (oder vom pihole?) kommen, d.h. der brute-force-Schutz der NC musste deaktiviert werden (fail2ban ist aber wohl auf dem proxy aktiviert)
• localAI-Server/-Container und die passenden Modelle darauf installieren, damit das schon mal über NextCloud-Assist nutzbar ist: absolut kein Plan.

Hat hier jemand was Ähnliches laufen und wäre bereit zu unterstützen? Ich würd auch ne Kiste Brause springen lassen

 

[Das Schaf]

Hmmm
Dave from Einsatz.

 

[Shihatsu]

Nextcloud bin ich raus. Grausiges Stück Software.

 

[Smarty]

Nextcloud bin ich raus. Grausiges Stück Software.

Das ist schon klar, aber kennst du was Besseres in FOSS, das den Zweck annähernd so gut erfüllt?
Nextcloud hat funktional und bei der Zuverlässigkeit in den letzten Jahren auch riesige Schritte gemacht (ich nutze das als einfacher User schon länger), nur das Deployment ist offenbar nach wie vor eine echte Herausforderung - vor allem, sobald man nicht den totalen Standardfall bedient. Ich meine, man schaue sich nur mal die Doku für so etwas Simples wie das Konfigurieren des smtp-Servers an
Schade jedenfalls, ich hoffe trotzdem noch ein bisschen weiter auf die foren-Schwarmintelligenz.

 

[Shihatsu]

Ich nutze einfach NAS + syncthing. Reicht mir völlig. So Eierlegende Wollmilchsäue sind halt Anti-KISS und viel zu komplex.

 

[Das Schaf]

Das ist schon klar, aber kennst du was Besseres in FOSS, das den Zweck annähernd so gut erfüllt?
Nextcloud hat funktional und bei der Zuverlässigkeit in den letzten Jahren auch riesige Schritte gemacht (ich nutze das als einfacher User schon länger), nur das Deployment ist offenbar nach wie vor eine echte Herausforderung - vor allem, sobald man nicht den totalen Standardfall bedient. Ich meine, man schaue sich nur mal die Doku für so etwas Simples wie das Konfigurieren des smtp-Servers an
Schade jedenfalls, ich hoffe trotzdem noch ein bisschen weiter auf die foren-Schwarmintelligenz.

Mein "Problem" damit ist dass das eine never ending story is.
Also wenn du selber/dein Kumpel sich nicht so auskennen, dann ist das vom Wartungsaufwand regelmäßig nicht ganz zu vernachlässigen. Und meine tools im LAN schaff ich schon selten aktuell zu halten.
Dazu ki server , den ich für extrem zweifelhaft halte. Den darfst du garantiert dauernd komplett neu aufsetzen.

Sobald du btw nextcloud zu etwas zwingen willst was es nicht Out of the box tut bricht dir das garantiert regelmäßig Updates. Ich habe schon Wochen(!!!) damit verbracht nextcloud Updates auszuspielen die angeblich nicht breaking waren
Deswegen meh, ich mach das nicht mehr beruflich und in der Freizeit würde ich mir sowas nie wieder aufsetzen

 

[Sodom&Gomorrha]

Mir geht es genauso, was fehlende Linuxkenntnisse angeht. Als Nutzer einer Synlogy braucht es die nahezu gar nicht (wenn alles normal funktioniert). Für die meisten Funktionen/Probleme reicht es auch, schnell was kurz nachzuschlagen. Mir graut es aber auch vorm Troubleshooting, aber der innere Schweinehund zum Lernen von Linux und DB-Systemen und so
Nextcloud hatte ich kurzzeitig drauf, fand ich aber auch ziemlich überladen. Es geht leider nicht ohne eigene Kenntnisse im Problemfall, wenn man es Jahre oder vielleicht sogar Dekaden nutzen will.
Ich struggle nämlich an derselben Sache, dass alles toll ist, solange es läuft.

Habe aber auch geringere Ansprüche als Smarty. Als Einzelperson brauche ich z. B. kein komplexes Rechtemanagement. Mir reicht auf meiner Synology das eingebaute Photos, und der vorhandene Standardkalender aus, den ich am PC via Thunderbird synchroniere. Mobil unter Android nutze ich dafür die beiden (kostenpflichtigen) Apps aCalender - als Google Kalender-Ersatz, und zum Syncen DAVx5, womit das Ganze seit gut 1,5 Jahre anstandslos läuft. Bei iOS habe ich das einfach in den Apple-Kalender eingebunden, aber mein Tablet verwende ich mitterweile seltener.

Als "Cloud" nutze ich ebenfalls die simpel gestrickte App auf der Syno und das Gegenstück zu OneDrive unter Windows. Dann kann ich nämlich optional auch EINSEITIG vom PC -> NAS bestimte Ordner synchronisieren und auf dem NAS auch behalten, falls ich die auf dem PC lösche oder verlieren sollte. Speicherplatz ist schließlich spottbillig, da tut es nicht weh.
OneDrive ist hässlich, wenn du - wie M$ es vorschlägt etwa den Documents-Ordner auch in der Cloud sichern willst. Hatte mal Probleme mit der App vor ner Weile, und mein Documents-Ordner war lokal komplett weg. Ja, ich mache tatsächlich regelmäßíg Backups, dennoch blöd wenn alles andere sonst funktioniert. War ne Weile lang Frust, auch wenn das vielleicht eher an mir gelegen haben dürfte, was ich nie herausgefunden hatte. Das aber bei z. B. komplett unbedarften Usern zu sehen dürfte für noch mehr Probleme sorgen.
Nach Recherche habe ich mehr zufällig herausgefunden, dass der Ordner nicht weg ist, sondern in einem Unterordner an anderer Stelle auf dem PC war.
Wenn man das vorher wüsste...

Die Photos-App für Android und iOS als Google Fotos-Ersatz von Synology läuft problemlos. Man sollte von Zeit zu Zeit je nach Gerät die App mal öffnen, dass er die neuen Fotos auch von unterwegs aufs NAS schiebt. Nimmste die Applikation halt auf aus dem Deep Sleep von deinem Smartphone raus und gut ist. VPN ins lokale Netzwerk solange anschalten und fertig.

Paperless NGX zur Archivierung hatte ich spaßeshalber ebenfalls mal probiert, aber erst 80 Dokumente drin; fast nur Gehaltsabrechnungen weil es schnell ging
Schon sehr cooles Stück Software, wo Verschlagworten schnell geht und auch die OCR erstaunlich gut durchsuchbare PDFs generiert. Hängt logischerweise von der Qualität der Quelle ab und wie gut oder schlecht abgelichtet, wenn man keinen Dokumentenscanner hat. Leider hatte ich Depp gemeint, den Docker-Container über die Update-Funktion des Containermanagers aktualisieren zu wollen und habe mir wohl die zugrundeliegende Datenbank zerschossen. Müsste eigentlich Troubleshooting betreiben und schiebe das seit Wochen vor mir her. Dabei überlege ich als dreckige Lösung einfach den Kram neu draufzupacken und die Ordnerstruktur der fertigen Dokumente aus dem letzten funktionierenden Backup einfach drüberzukopieren. Die Originale bleiben ja immerhin ebenfalls erhalten, und ob die Verschlagwortung dann weg ist, muss ich noch sehen.

Wegen Wireguard bzw. VPN nach Hause nutze ich einfach die eingebaute Version in der Fritzbox. Sehr einfach einzurichten, und wenn du mal von unterwegs was synchronisieren willst (oder einfach nur einen sicheren Tunnel unterwegs willst, z. B. in einem öffentlichen WLAN,), schiebste dir die offizielle WG-App in die obere Quick Launch-Leiste auf deinem Handy und schaltest bei Bedarf ein, öffnest die Syno-Apps und machst danach wieder aus.

 

[Benrath]

Macht es nicht fast mehr Sinn einen cloud Anbieter zu nutzen und zu lernen wie du deine Sachen extra verschlüsselst, dass nur du Zugriff drauf hast? Auf der anderen Seite hast du dann auch Speicherung außerhalb deines Hauses falls mal was abbrennen bzw kaputt gehen sollte

 

[Das Schaf]

Macht es nicht fast mehr Sinn einen cloud Anbieter zu nutzen und zu lernen wie du deine Sachen extra verschlüsselst, dass nur du Zugriff drauf hast? Auf der anderen Seite hast du dann auch Speicherung außerhalb deines Hauses falls mal was abbrennen bzw kaputt gehen sollte

Definiere Sinn

 

[Shihatsu]

Spoiler

First of all: Ich hab leicht reden von meinem extrem hohen Ross - ich verdiene mit dem Scheiss mein Geld.
Ich nutze in der Firma einen kompletten Docker-Stack mit jedem Scheiss, wir haben diverse proxmox cluster (justamente migrierien wir immer mehr weg von ESXi / VMware), verschiedenste Enterprise-Grade-NAS Lösungen abseits unserer großen SANs, basteln Netzwerke und co - halt der ganze Kram den man als KRITIS-Betreiber so macht.
Und weil ich das verstehen möchte mache ich das ganze auch daheim: Ich hab hier ein proxmox cluster, 3 stufig (dev,test,prod), 3 TrueNAS Instanzen, ein Synology, dev/q/p saltstack, mache erste eigene Dinge mit Ansible, siehe Techforum) und und und - und wenn ich nicht weiterkomme dann weiß ich ganz genau wen ich fragen muss.
Also alles mit ganz viel Salz geniessen was jetzt kommt.

Wir haben hier 2 Aspekte, die mMn getrennt voneinander betrachtet werden müssen, streng nach seperation of concerns und (secure) operability:
Selfhosting und NAS. Bei beidem gilt immer eine Grundregel: Betreibe nichts das du nicht beherrscht - warum das so ist sieht man gerade wunderbar.
Und je komplexer das ist desto mehr braucht es einen Schaf, einen Booti oder einen Willy - es gibt schon einen Grund warum OpSec-fähige Architekten ganz geil verdienen.

Zum Thema Selfhosting mittels der eigenen Internetleitung:
Nicht ein mal ich betreibe Selfhosting von zu Hause aus im Internet erreichbar - und das obwohl (oder gerade weil)l ich weiß was dafür zu tun ist um das sicher hinzu kriegen - nicht nur von der Technik her sondern auch von allen Prozessen aus gesehen. Der Aufwand ist es mir einfach nicht wert, denn das muss gepflegt werden, dauerhaft.
Meine Empfehlung: mailbox.org - sollte alles bieten was du brauchst, bohrt kein Loch in deine Security und es kümmert sich jemand darum der sich damit auskennt.

Was das Thema NAS bzw. Server angeht: Da geht alles von bis.
Auch hier ganz wichtig: Nichts betreiben das man nicht beherrscht. Hier nehmen sich die verschiedenen Lösungen aber am Ende des Tages nicht viel - egal ob KaufNAS oder TrueNAS/Unraid/OMV. am Ende des Tages bedient man fast alles über eine Gui.
Was man auf keinen Fall tun sollte ist sich auf einen "richtigen" DevOps Stack a la docker einzulassen, wenn man damit nicht sein Geld verdient - da wird es abseits der ausgefahrenen Wege ganz schnell ganz komplex.
Und was man am Ende auf keinen Fall tun sollte, es sei denn man weiß ganz genau was man tut: NAS virtualisiert betreiben. Das ist der direkte Weg in den Datenverlust bei Verfügbarkeitsproblemen.
Versucht das Zeug so einfach wie möglich zu halten.

Und am Ende eine ganz persönliche Meinung:
Um Himmels Willen, keinen Cloud-Anbieter - zumindest keinen der dann alle deine Daten zu seinem Produkt macht. Stichwort Digitale Souveränität.

 

[Benrath]

Definiere Sinn

Naja dass Betrieb usw. nicht dein Problem ist und du über die Verschlüsselung deine Daten schützen kannst. dachte das wird gerade viel unter confidential computing diskutiert und das BSI will so Behörden die Nutzung von public cloud Anbietern ermöglichen

Sinn in der Hinsicht weniger Aufwand mit gleichen Ergebnissen und extern

 

[Das Schaf]

BSI will so Behörden die Nutzung von public cloud Anbietern ermöglichen

Das finde ich halt einen vollkommen dummen Ansatz in dem Fall. Also wirklich abartig dumm.

Naja dass Betrieb usw. nicht dein Problem ist und du über die Verschlüsselung deine Daten schützen kannst

Das ist halt das Ding.
Du hast die Daten in der Cloud, hast aber keine Datensicherheit, musst dich trotzdem wieder selbst um Backups kümmern.
Und du zahlst auch wesentlich mehr.
Hmm

 

[Shihatsu]

O, und btw: Das BSI ist ein lächerlicher Verein der keine Ahnung hat von dem was er tut oder besser gesagt tuen soll. Sämtliche "richtigen" Experten werden mundtot gemacht oder in AGs abgeschoben, auf deren Empfehlungen dann nicht gehört wird - vergleiche AG KRITIS und deren letzte Vorschläge...

 

[Benrath]

Das finde ich halt einen vollkommen dummen Ansatz in dem Fall. Also wirklich abartig dumm.

es steht dir frei mehr dazu zu schreiben. So mit Begründung etc. Dann macht es zumindest mir mehr Spaß zu "diskutieren"

Das ist halt das Ding.
Du hast die Daten in der Cloud, hast aber keine Datensicherheit, musst dich trotzdem wieder selbst um Backups kümmern.
Und du zahlst auch wesentlich mehr.
Hmm

Naja kommt auf die Menge der Daten an und wie häufig ich darauf zugreifen möchte. Das im Verhältnis zur Zeit. Muss jeder für sich selbst wissen.

und da sind wir. Mehr Kompetenz hier als beim BSI und überall.

 

[Shihatsu]

Mehr Kompetenz hier als beim BSI

Ja

und überall.

Nein

Und nur um das mal einzuordnen: Der CCC hat mehrfach direkt davor gewarnt, mit dem BSI zusammenzuarbeiten oder Richtlinien des BSI zu übernehmen.
Das selbe hat die AG KRITIS getan, mehrfach. Ebenfalls Digital Courage.
Und wer mal den kompletten Rant erleben will kann ja gerne mal auf fefe nach BSI suchen.

Diese Behörde ist genau so fähig wie der Rest der deutschen Behörden, nur hier kann ich es komplett professionell beurteilen und werde für die Beurteilung und eine trotzdem vernünftige Umsetzung auch noch bezahlt. Während ich mir Gedanken darum mache wie man vendor-chains wieder "Heim ins Rech holt" - zumindest bei den ganz kritischen Komponenten, ganz aktuell: Weg von Hashicorp auf Azure hin zu OpebBAO on premise - schlägt das BSI solch unglaublich tolle Dinge vor wie Das hier. Herr schenk Hirn.

 

[Das Schaf]

es steht dir frei mehr dazu zu schreiben. So mit Begründung etc. Dann macht es zumindest mir mehr Spaß zu "diskutieren"

Siehe Dave
Das ganze ist so abstrus dumm dass es mir auch zu schade ist dafür Zeit aufzuwenden da drüber zu schreiben.

Zum Rest.
Sorry dass ich was über meinen Beruf weiß.
Next time hör ich einfach auf den bullshit vom BSI

Ps:
Das BSI hat mit Kompetenz absolut so viel zu tun wie xantos mit Datenschutz.
Es gibt da Kompetenz in dem Haufen, aber dafür gibt es diese Behörde nicht.
Allein dass etwas existiert wie ISO 27001 ist eigentlich schon Grund genug den Laden abzuschaffen

 

[Benrath]

Siehe Dave
Das ganze ist so abstrus dumm dass es mir auch zu schade ist dafür Zeit aufzuwenden da drüber zu schreiben.

Zum Rest.
Sorry dass ich was über meinen Beruf weiß.
Next time hör ich einfach auf den bullshit vom BSI

Ps:
Das BSI hat mit Kompetenz absolut so viel zu tun wie xantos mit Datenschutz.
Es gibt da Kompetenz in dem Haufen, aber dafür gibt es diese Behörde nicht.
Allein dass etwas existiert wie ISO 27001 ist eigentlich schon Grund genug den Laden abzuschaffen

Ka bisher hab ich von dir nicht den Eindruck, dass du über irgendwas Bescheid weißt. In erster Linie bist du ideologisch aufgeladen und stänkerst hauptsächlich. Kann mich an keine spannende Diskussion erinnern wo du etwas beigetragen hättest.

und für beide gilt dann wie immer wenn die Themen in Richtung IT gehen. gebt euch halt Mühe Leute abzuholen sonst wundert euch nicht wenn euch keiner ernst nimmt. Ich bin weit entfernt davon IT ler zu sein aber würde mir schon eine gewisse Affinität zuschreiben. Vor allem komme ich beim Thema Daten aus einer Ecke die mit dem Thema vermutlich mehr anfangen kann als ihr ITler.

lasse mir gerne einen thread zeigen wo Konzepte aus der IT wie cloud ernsthaft diskutiert werden, weil eure Seite immer sofort zumacht wenn ihr Widerspruch erhaltet. Dann sind wir alle zu doof, Zeit zu schade etc. pp. Das denk ich mir hier auch bei drölf posts zu Themen die mir näher liegen... aber an sich sind wir dachte ich für den Austausch hier.

Sonst halt nicht

 

[Shihatsu]

Okay, also ad hominem - na dann. Danke fürs derailen. am besten hälst du dich dann hier zurück, danke.

 

[Smarty]

@Sodom&Gomorrha: Danke für deinen ausführlichen Erfahrungsbericht! Wireguard (allein) ist nur ein Weg für mich selber (den ich auch nutze), aber mir geht es auch und gerade um den Austausch mit anderen, siehe auch ganz unten.
@Benrath kommerzielle Cloud mit eigener Verschlüsselung nutze ich für mich selbst auch schon lange, s.u.
@Shihatsu Ach komm schon, Dave. Man darf also ad hominem so richtig hart über andere "hinter ihrem Rücken" ohne Begründung herziehen, aber sobald das dann outgecalled wird, ist der outcaller der Doofe?

@Topic:
- Video-Calls: Ports in iptables geforwarded, dann mussten wir uns nicht mal mit xcaddy rumschlagen. Geht jetzt.
- Emaileinstellungen: Da muss zwischen Keepass Autotype und dem nc-Interface irgendwas Doofes passiert sein. Passwort manuell aus keepass reinkopiert, geht jetzt auch.
Rest werden wir auch schon irgendwie hinkriegen.

@Offtopic: Schade, dass hier von den Leuten mit technischer Expertise wieder hauptsächlich so eine Grundsatzdiskussion kommt statt an der konkreten Problemstellung zu arbeiten.
Selbstverständlich will ich nextcloud nicht als Cloud für alles nutzen. Es kommen keine Nacktfotos drauf, keine Steuer-Unterlagen, Versicherungsdaten oder Tagebücher. paperless ist zwar auch geplant, aber halt ohne Zugriff von extern (und weder als Nextcloud- noch als Home Assistant-Addon).
Aber private Fotos - und seien es nur stinknormale Familienfotos - kommen mir halt nicht ohne wenigstens eine AES-Verschlüsselung mit sicherem Passwort in irgendeine kommerzielle Cloud. Und wenn ich Fotos zum "Mal-durchklicken und zweidrei Fotos runterladen um sie zu drucken" in hoher Qualität teilen will, muss es für die anderen User (darunter >80-Jährige) komfortabel sein und kein "Hier ist deine Wireguard-Config" und auch kein "installier dir eine App, die verschlüsselte 7z-Dateien entpacken kann, gib das 20-stellige Passwort ein, entpacke auf deinem Telefon und gehe die Fotos da durch".
Bei meinen sonstigen use cases (z.B. remote-Zusammenarbeit mit verschiedenen Teams in Klein-Projekten) geht es zwar auch darum, die Daten auf meiner eigenen kleinen Infrastruktur zu halten -- allein schon weil das tw. öffentlicher Dienst als Auftraggeber ist und externe Clouds da nie gut ankommen, egal wo sie gehostet sind -- aber da sind keinerlei Daten dabei, die "nur für den internen Gebrauch" oder schlimmer wären und auch keinerlei personenbezogene Daten außer Emailadressen der Kolleg:innen, die eh auch öffentlich verfügbar sind.

Ich halte es für nicht besonders wahrscheinlich, dass sich jemand die Mühe macht, bei einer anscheinend(sic) privaten kleinen Nextcloud hinter einem reverse proxy inklusive Wireguard-Tunnel sich dann Zugang zu proxmox und von da aus Zugang auf alles anderes zu verschaffen. fail2ban blockt munter, klar, aber ich sehe den Angriffsvektor wegen des Aufwand-Nutzen-Verhältnisses ehrlich gesagt nicht so richtig. Und von Netzwerksicherheit an sich hat mein Kumpel schon ein bisschen Ahnung (ich dachte, das wäre schon impliziert gewesen bei den Stichworten reverse proxy, fail2ban, Wireguard etc.), nur halt nicht von Nextcloud.

Für mich selber und für wirklich halbwegs sensible Familiendaten hatte/habe ich übrigens boxcryptor/cryptomator in Kombination mit OneDrive und lokalem Voll-Sync auf drei verschiedenen Privatrechnern (davon einer an einem anderen physischen Ort) und Teil-Sync der wichtigsten Sachen auf zwei Telefonen sowie regelmäßigen lokalen Backups an zwei verschiedenen physischen Orten (Städten) - 1x im Quartal Vollbackup, regelmäßig differenzielle Updates, Zwischenstände reichen jahrelang zurück. OneDrive warnt darüber hinaus per Push, sobald mehr als ein paar Dutzend Dateien an einem Tag geändert oder gelöscht werden, d.h. da kriegt man es auch schnell mit, wenn das jemand corrupted.
Denn ich will die peinlichen Kleinkind-Videos auch wirklich auf dem 18. Geburtstag des Nachwuchses abspielen können und nicht immer nur damit drohen.

Spoiler

Falls jemand das Totschlag-Argument bringen will, dass ich bestimmt eh tausend andere privatsphäre-gefährdenden Dienste nutze: klar. Aber ich mache da schon etwas mehr gegen als der Durchschnitt: Ich nutze als Messenger weder WhatsApp (außer für die Kita-Gruppen, aber das nur auf einem separaten Telefon mit separater SIM-Karte, auf dem sonst nichts anderes ist und auch an Kontakten nur die gespeichert sind, die auf die WhatsApp-Gruppen bestehen) noch habe ich einen facebook-, Instagram-, Snapchat-, TikTok- oder ChatGPT-Account. An Scriptblock/Anti-Fingerprinting (pihole ja sowieso) habe ich so viel aktiviert, dass es gerade noch nicht jede zweite Website komplett zerstört (und handle mir damit trotzdem ständig Ärger mit meiner Frau ein, die nicht mehr erfolgreich auf ihre duckduckgo-Werbeanzeigen über den Suchergebnissen klicken kann). Der epa haben wir widersprochen. Wir haben viele verschiedene Emailadressen für verschiedene Sorten von Diensten/Firmen usw. Payback und Co. sowie Online-Cashback-Anbieter werden links liegen gelassen. Als Oldschool-Suchmaschine nutze ich startpage & Co, die meisten meiner KI-Anfragen (und alle mit persönlichen Dingen) laufen über meinen bisher rein lokal laufenden KI-Server. Und noch ein paar andere Dinge. Meine zwei ernsthaften Privatsphäre-Schandflecken sind Google maps / Google Framework und Amazon, aber auch die werde ich irgendwann schon noch los. Auch wenn die "mein Gerät finden"-App heute mal wieder dafür gesorgt hat, dass wir das Telefon meiner Frau ganz leicht wiedergefunden haben, das ihr auf der Wanderung zwei Stunden vorher ins hohe Gras gefallen war, als sie sich die Schnürsenkel neu gebunden hatte.

 

[Das Schaf]

Schade, dass hier von den Leuten mit technischer Expertise wieder hauptsächlich so eine Grundsatzdiskussion kommt statt an der konkreten Problemstellung zu arbeiten.

Naja deine Problemstellung ist übertrieben gesagt:
"ich brauche einen Admin für meine Nextcloud"

Man darf also ad hominem so richtig hart über andere "hinter ihrem Rücken" ohne Begründung herziehen, aber sobald das dann outgecalled wird, ist der outcaller der Doofe?

Du meinst mich damit?
Das BSI hat in unserer Branche kein Standing. Die einzigen die das Toll finden sind CEOs weil man tolle darauf mit dem Finger zeigen kann wenn man mal wieder der gesamte Konzern nicht arbeiten kann wenn Crowdstrike deine Server runter fährt.
Die Vorschläge und Maßnahmen des BSI gehen in vielen Fällen konträr zur Sicherheit.
ISO 27001 bringt exakt gar nichts für eine "sicherheitseinschätzung" nur weil eine Firma diese Kack Zertifizierung hat heißt das gar nix.
Vorschläge wie:
Dann können Behörden Cloud XYZ nutzen sind hahnebüchen.
Diese Daten gehören in Bund eigene Rechenzentren. nix mit third party cloud scheiße.
Du hast am Ende wieder ein Vendor Lock In, nur mit deinen Daten.
Dazu müsste man halt mal wieder sinnvoll in IT Infrstruktur investieren.

Public Cloud anbieter haben in den Behörden nichts verloren. Es gibt keinen absolut keinen Grund die Daten nicht in einem eigenen RZ zu haben.
Ein eigenes RZ kommt dich immer (!!!!) billiger als die gleiche Menge Daten extern zu haben.
Im prinzip ist das dann Geldverschwendung auf Steuerzahlerkosten für wirklich sinnloses Cloud Zeug

 

[Smarty]

Naja deine Problemstellung ist übertrieben gesagt:
"ich brauche einen Admin für meine Nextcloud"

Wie du schon sagst: Das ist übertrieben - und stimmt nicht. Wenn wir zwei der fünf Punkte mit anderthalb Stunden KI-Befragung lösen konnten (so lange hat es gedauert, bis wir herausgefunden haben, was die richtige Frage ist, und ich bin zuversichtlich, dass das mit den anderen Punkten ähnlich laufen wird), wäre es ja auch ziemlich traurig für Admins.

Mir geht es darum: Ihr steckt hier im Technikforum Zeit in allgemeine Beschwerden fernab des Topics. Wir wissen alle, dass das Internet gefährlich ist und "IT-Kompetenz in der öffentlichen Verwaltung" ein Oxymoron. Steckt die Zeit doch lieber in die Problemlösung, das wäre für alle befriedigender. Vielleicht wären euch bei den Ports direkt einzwei Möglichkeiten eingefallen, was zu tun oder wenigstens zu prüfen ist. Für euch nicht mehr Aufwand, für mich und meinen Kumpel weniger. Nennt man "helfen" oder "nett sein".
@ "Du meinst mich damit?": Kann ich nicht beurteilen, ich verfolge die Threads im Comm nicht. Das war mein Versuch einer Einordnung auf Daves Reaktion auf Benrath. Hier im Thread trifft meiner Meinung nach aber zu, was Benrath gesagt hat.

 

[Shihatsu]

Das empfinde ich jetzt aber recht frech von dir - vor allem der Vorwurf "Schade, dass hier von den Leuten mit technischer Expertise wieder hauptsächlich so eine Grundsatzdiskussion kommt statt an der konkreten Problemstellung zu arbeiten." ist unfair. Ich habe dir ganz konkret vorgeschlagen wie ich das an deiner Stelle lösen würde und auch warum ich das so machen würde. Ich finde es nun mal falsch etwas zu betreiben das man nicht beherrscht - und das ist meine berufliche "Expertenmeinung" - ich verstehe schon das die nicht gut ankommt weil sie das Gegenteil von dem ist was du hören wolltest, aber: Die konkrete Problemstellung ist nämlich nur kurzfristig irgendwas mit deinem Tunnel, aber langfristig eben "Du beherrscht das nicht und bist immer auf Hilfe angewiesen". Und das bei dingen die nicht nur du selber nutzt. Diese Verantwortung ist mMn bei dir falsch aufgehoben, und das zu erwähnen ist mMn deutliche Hilfe bei der ursächlichen Problemstellung.

Den Rest lass ich unkommentiert aufgrund "Ich lese das Com nicht" - sei froh, was das Thema angeht. Falls da mehr Interesse abseits des Themas besteht können wir das gerne per PM weiterführen.

 

[Das Schaf]

Vielleicht wären euch bei den Ports direkt einzwei Möglichkeiten eingefallen, was zu tun oder wenigstens zu prüfen ist. Für euch nicht mehr Aufwand, für mich und meinen Kumpel weniger. Nennt man "helfen" oder "nett sein".

Aus meiner professionellen Sicht: Eher nein.
Wir haben es nicht aufgesetzt, wir kennen die Umgebung nicht.
D.h Stunde eher zwei einlesen was ihr da gemacht habt und danach schauen was genau konfiguriert ist. Das ganze "was ist zu prüfen" ist schwierig zu sagen. Prinzipiell euch die Antwort: alle configs! Noch weniger. Ist aber im Prinzip die korrekte Antwort...
Komplexe Systeme sind als Laie nicht zu beherrschen. Das Konstrukt das ihr da gebastelt habt ist komplex. Wenn da ein Puzzle Stück nicht mitspielt fängst du von vorne mit suchen an.
Das hat nix mit nicht nett sein zu tun. Sondern das Problem finden kann gerne 10 Stunden dauern ohne befriedigendes Ergebnis. Das ist leider für Wahrheit

 

[Smarty]

@Shihatsu Du hast angefangen mit "Nextcloud bin ich raus". Dabei hättest du es ja auch einfach belassen können. Stattdessen: "Grausiges Stück Software" und "So Eierlegende Wollmilchsäue sind halt Anti-KISS und viel zu komplex."
Mag sein, danach habe ich aber schlicht nicht gefragt.

@Das Schaf Du schreibst "ich mach das nicht mehr beruflich und in der Freizeit würde ich mir sowas nie wieder aufsetzen" - da hab ich vermutet, dass du Einiges an nc-Erfahrung mitbringst. Erst dein letztes Posting gibt mir aber den Eindruck, dass das nur eingeschränkt so ist bzw. nc je nach Installations- und Betriebsart einfach zu unterschiedlich ist - nc-aio über docker hinter reverse proxy ist jedenfalls wirklich nichts total Spezielles.

Btw. sind ziemlich viele Menschen und Organisationen durchaus der Meinung, dass nc gut genug für einen - auch Business- - Betrieb ist.

Es ist doch völlig i.O. zu sagen "nicht mein Themenfeld" oder "da sind zu viele Fragen noch offen, da müsste ich mich erst aufwändig einlesen", aber stattdessen/zusätzlich die ungefragte Meinung à la 'ist nicht kiss und außerdem schrott' oder "Dazu ki server , den ich für extrem zweifelhaft halte" aufzudrücken bringt keinem was. Technische und Sicherheits-Bedenken nehme ich doch gerne als Randbemerkung mit, aber wenn das mit nichts gepaart ist, das mir in der Sache weiterhilft, und anschließend in Bashing von public IT abdriftet (gutes Thema fürs Comm vielleicht) macht es das als Empfänger nicht so einfach.

 

[Shihatsu]

Verstehe, Meinungen und/oder Hilfe abseits der genauen Fragestellung nicht erwünscht - sorry, war mir nicht bewusst. Gl!

 

[Das Schaf]

Erst dein letztes Posting gibt mir aber den Eindruck, dass das nur eingeschränkt so ist bzw. nc je nach Installations- und Betriebsart einfach zu unterschiedlich ist - nc-aio über docker hinter reverse proxy ist jedenfalls wirklich nichts total Spezielles.

Aha
Nicht nur Betriebsart spielt eine Rolle. Aber egal.
Ich bin dann raus